1
Adminfreigabe auf W2K3 Server überwachen
Die Standardfreigabe C$ soll auf Netzwerkzugriffe überwacht werden. Es werden Informationen über Dateierstellung und Benutzer benötigt.
Hallo alle zusammen,
ich habe ein kleines Virenproblem in einem Netzwerk und bin nun auf der Suche nach dem "Wirt". In dem Netzwerk stehen zur Zeit 3 Windows Server und ca. 30 Clients. Folgende Situation:
Auf einem dieser Server wird regelmäßig versucht, eine Virusdatei auf C: über die Adminfreigabe (C$) abzulegen. Diese wird dann brav vom Virenscanner sofort gefunden und gelöscht. Ich brauche nun ein Tool, was diese Freigabe überwacht und den Netzwerkverkehr mitschneidet. Am Ende möchte ich das Protokoll oder die Log einfach nach dem Dateinamen durchsuchen und dann sehen können, von welchem Client und mit welchem Benutzer diese Virendatei erstellt wurde.
Mit den Windows-eigenen Boardmitteln komme ich hier wohl nicht aus, die "Systemüberwachung" bringt nicht das gewünschte Ergebnis.
Übrigens: Ich kann ausschließen, dass die Datei vom Server selbst erstellt wird, denn dieser ist zu 100% clean. Es kommt also aus dem Netzwerk,
Ich bitte um eine Schritt-für-Schritt Anleitung und hoffe, dass mir hier jemand helfen kann.
ich habe ein kleines Virenproblem in einem Netzwerk und bin nun auf der Suche nach dem "Wirt". In dem Netzwerk stehen zur Zeit 3 Windows Server und ca. 30 Clients. Folgende Situation:
Auf einem dieser Server wird regelmäßig versucht, eine Virusdatei auf C: über die Adminfreigabe (C$) abzulegen. Diese wird dann brav vom Virenscanner sofort gefunden und gelöscht. Ich brauche nun ein Tool, was diese Freigabe überwacht und den Netzwerkverkehr mitschneidet. Am Ende möchte ich das Protokoll oder die Log einfach nach dem Dateinamen durchsuchen und dann sehen können, von welchem Client und mit welchem Benutzer diese Virendatei erstellt wurde.
Mit den Windows-eigenen Boardmitteln komme ich hier wohl nicht aus, die "Systemüberwachung" bringt nicht das gewünschte Ergebnis.
Übrigens: Ich kann ausschließen, dass die Datei vom Server selbst erstellt wird, denn dieser ist zu 100% clean. Es kommt also aus dem Netzwerk,
Ich bitte um eine Schritt-für-Schritt Anleitung und hoffe, dass mir hier jemand helfen kann.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 103130
Url: https://administrator.de/contentid/103130
Printed on: April 16, 2024 at 13:04 o'clock
1 Comment
Den Ansatz halte ich für ok, aber das eigentliche Problem ist: wieso ist das Ganze möglich?
Hat jemand das Adminkennwort des Servers/das Domänenadminkennwort? Alarm!
Bestehen ungepatchte Sicherheitslücken auf Netzwerkebene? Nochmal Alarm!
Das solltest Du prüfen/patchen/Kennwörter ändern und schon wird da nichts mehr hingeschrieben. Mach das in jedem Fall, auch wenn das Problem mittlerweile als erledigt gilt.
Wenn Du c: (nicht c$) auf dem Server überwachst, was erhältst Du denn für (angeblich nicht aussagekräftige) Resultate?
Hat jemand das Adminkennwort des Servers/das Domänenadminkennwort? Alarm!
Bestehen ungepatchte Sicherheitslücken auf Netzwerkebene? Nochmal Alarm!
Das solltest Du prüfen/patchen/Kennwörter ändern und schon wird da nichts mehr hingeschrieben. Mach das in jedem Fall, auch wenn das Problem mittlerweile als erledigt gilt.
Wenn Du c: (nicht c$) auf dem Server überwachst, was erhältst Du denn für (angeblich nicht aussagekräftige) Resultate?